PT-2024-9833 · Unknown+2 · Zoneminder+2
Blackh4N
·
Publicado
2024-08-12
·
Atualizado
2024-10-08
·
CVE-2024-43360
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do ZoneMinder de 1.36.33 a 1.37.43
Versões do ZoneMinder anteriores à 1.36.34
Versões do ZoneMinder anteriores à 1.37.61
Descrição:
O ZoneMinder está sujeito a uma vulnerabilidade de injeção de SQL baseada em tempo. O problema decorre da sanitização inadequada das entradas do usuário nos parâmetros
sort e mid do endpoint “/zm/index.php”. Essa vulnerabilidade pode permitir que um invasor execute código arbitrário.Recomendações:
Para as versões do ZoneMinder 1.36.33 a 1.37.43, atualize para a versão 1.36.34 ou posterior.
Para versões do ZoneMinder anteriores à 1.37.61, atualize para a versão 1.37.61 ou posterior.
Como solução temporária, considere restringir o acesso ao endpoint “/zm/index.php” até que um patch esteja disponível.
Evite usar os parâmetros
sort e mid no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
SQL injection
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Zoneminder